De wereld van informatiebeveiliging (IB) staat nooit stil, en de herziene versie van ISO 27001 2022 brengt belangrijke wijzigingen met zich mee. Wij vertellen je meer over de essentiële veranderingen die organisaties moeten aanpakken en hoe deze aanpassingen bijdragen aan een robuustere beveiligingsinfrastructuur. En heb je al een ISO 27001 certificaat en ben je benieuwd waar welke onderdelen naartoe verplaatst zijn? Dan hebben we nog een handig overzicht voor je in deze blog!

Bijlage A: focus op cyberbeveiliging en privacyaspecten

De meest opvallende wijzigingen in ISO27001 2022 vinden plaats in bijlage A, met vooruitgang op het gebied van beveiligingscontroles. De toevoeging, schrapping en samenvoeging van controles spelen hier een cruciale rol. Het doel? Organisaties voorbereiden op nieuwe scenario's en hen helpen risico's beter te beheren.

Nieuwe beveiligingscontroles in het digitale tijdperk

Sinds de laatste versie in 2013 zijn de beveiligingscontroles aanzienlijk veranderd. Maar liefst 11 nieuwe controles, 58 bijgewerkte en 24 samengevoegde controles weerspiegelen de evolutie in de digitale wereld. Met de opkomst van technologieën als cloud en automatisering en de groeiende toepassing ervan, moeten organisaties nu meer dan ooit rekening houden met deze veranderende scenario's. Wij tipte jullie al eerder over het handige boek van Cees van der Wens over de ISO 27001 en hij heeft voor deze nieuwe versie van de norm ook een nieuwe versie van zijn boek uitgebracht waarin alle 93 controls uit bijlage A worden toegelicht: Handboek ISO 27001 ISMS.

Aanpak van cyberdreigingen en privacyrisico's

De herziene ISO-norm erkent expliciet de toenemende risico's op het gebied van cyberbeveiliging en privacy. Met een snel veranderend dreigingslandschap, inclusief nieuwe vormen van malware en ransomware, is het essentieel dat beveiligingsnormen met deze ontwikkelingen meebewegen. De nieuwe versie streeft naar afstemming op best practices zoals NIST en COBIT om een meer holistische aanpak te waarborgen.

Impact op verschillende organisatorische gebieden

De veranderingen in ISO 27001 2022 hebben niet alleen betrekking op beveiligingscontroles, maar ook op verschillende organisatorische gebieden. Leiderschap, bedrijfsbeveiliging, IT-functies, ondersteunende functies en dienstverleners zullen allemaal hun risicobeoordelingen moeten herzien en beveiligingscontroles opnieuw moeten instellen om aan de nieuwe eisen te voldoen.

Afstemming op ISO's Harmonized Structure (HS)

Naast de specifieke beveiligingscontroles heeft de 2022-editie van ISO 27001 ook aandacht besteed aan de Harmonized Structure (HS) van ISO. In mei 2021 is 'de nieuwe HLS' gepubliceerd en is de naam gewijzigd in Harmonized Structure. De ISO 27001 2013 is een van de eerste normen waarbij de “oude” HLS is gebruikt, dus ook daar zijn een aantal wijzigingen in te zien. Heel veel onderwerpen van de oude norm zitten nog wel in deze nieuwe, maar net even op een andere plek. Om het jullie makkelijk te maken hebben we een handig Excel bestandje waar de oude en nieuwe plek van verschillende onderwerpen staat.

Overgangsperiode en certificering

Op 25 oktober 2022 werd de nieuwe versie van ISO 27001 uitgebracht, met een overgangsperiode van 3 jaar (36 maanden). Dit betekent dat alle bestaande certificaten vóór 30 oktober 2025 naar de nieuwe versie moeten worden overgezet. De laatste mogelijkheid tot (her)certificering tegen de 2013-versie is op 30 april 2024. Na deze datum moeten alle (her)certificatie-audits automatisch tegen de ISO 27001:2022 worden uitgevoerd.

IB met de juiste software

Een hele uitdaging dus, om te zorgen dat je klaar bent voor de overstap. Het is daarom extra belangrijk om je hele organisatie te betrekken bij je informatiebeveiliging beleid. Dat doe je bijvoorbeeld door IB trainingen te geven en toetsen af te nemen.
Verder is het belangrijk dat je al je processen in kaart hebt gebracht, de bijbehorende risico’s vastgelegd hebt en duidelijk beleid hebt met audits en checks. Wij hebben dat hele proces zelf ook doorlopen en vertellen je graag hoe wij ons ISO 27001 certificaat behaald hebben in deze blog.

Categories: Blog, Informatiebeveiliging /